Malware Ranking

Check Point erkennt eine Verschiebung in den RaaS-Gruppen

, Check Point | Autor: Herbert Wieler

Check Point erkennt eine Verschiebung in den RaaS-Gruppen

Ransomware-as-a-Service (RaaS)-Landschaft

Im Juni 2024 hat Check Point® Software Technologies Ltd. seinen Global Threat Index veröffentlicht, der eine Verschiebung in der Ransomware-as-a-Service (RaaS)-Landschaft aufzeigt. RansomHub hat LockBit3 als führende RaaS-Gruppe abgelöst. Diese Information basiert auf „Shame-Seiten“, auf denen Hacker ihre Opfer bloßstellen. Eine neue Windows-Backdoor namens BadSpace wurde ebenfalls entdeckt, die infizierte WordPress-Websites und gefälschte Browser-Updates beinhaltet.

Maya Horowitz, VP of Research bei Check Point Software, Copyright Check Point

LockBit3, das im Februar durch Strafverfolgungsmaßnahmen betroffen war, zeigt einen deutlichen Rückgang der Aktivität. Im Juni wurden nur noch weniger als 20 Opfer von LockBit3 gemeldet, verglichen mit über 170 im Mai. Viele ehemalige Mitglieder von LockBit3 nutzen jetzt Verschlüsselungsprogramme anderer RaaS-Gruppen. RansomHub, erstmals im Februar 2024 aufgetaucht und eine Reinkarnation der Ransomware Knight, verzeichnete im Juni fast 80 neue Opfer. Nur 25 Prozent dieser Opfer stammen aus den USA, während die restlichen in Brasilien, Italien, Spanien und Großbritannien zu finden sind.

Maya Horowitz, VP of Research bei Check Point Software, bemerkte, dass die Maßnahmen gegen LockBit3 effektiv waren, aber andere Gruppen die Lücke füllen und ihre Angriffe weltweit fortsetzen.

Top-Malware in Deutschland

In Deutschland dominierte Androxgh0st die Malware-Landschaft. Diese Malware ist ein Botnet, das Windows-, Mac- und Linux-Plattformen angreift und Sicherheitslücken in PHPUnit, Laravel Framework und Apache Web Server ausnutzt. Androxgh0st stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen und AWS-Schlüssel. Auf Platz zwei der meistverbreiteten Malware in Deutschland liegt FakeUpdates, ein JavaScript-basierter Downloader, der weitere Schadprogramme wie GootLoader und Dridex nachlädt. FormBook, ein Infostealer, der erstmals 2016 entdeckt wurde, belegt den dritten Platz. FormBook sammelt Anmeldeinformationen von Webbrowsern, Screenshots, Tastatureingaben und kann Dateien vom Command-and-Control-Server herunterladen und ausführen.

Die am stärksten betroffenen Branchen in Deutschland waren:

  1. Bildung und Forschung
  2. Kommunikation
  3. Gesundheitswesen

Mobile Malware

Die am weitesten verbreitete mobile Malware im Juni 2024 war Joker, eine Android-Spyware, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stiehlt. Joker meldet das Opfer unbemerkt bei Premium-Diensten an. Anubis, ein Banking-Trojaner für Android, belegte den zweiten Platz. Anubis verfügt über zusätzliche Funktionen wie Remote-Access-Trojaner (RAT), Keylogger und Ransomware-Funktionen. AhMyth, ein Remote-Access-Trojaner, der über infizierte Android-Apps verbreitet wird, belegte den dritten Platz. AhMyth kann sensible Informationen sammeln, Keylogging durchführen, Screenshots erstellen und SMS-Nachrichten senden.

Aktivste Ransomware-Gruppen

Basierend auf Daten von Ransomware-„Shame Sites“, die Informationen über Opfer veröffentlichen, war RansomHub im Juni 2024 die aktivste Ransomware-Gruppe und verantwortlich für 21 Prozent der Angriffe. Play Ransomware belegte mit 8 Prozent den zweiten Platz, gefolgt von Akira mit 5 Prozent.

RansomHub ist eine RaaS-Operation, die Anfang 2024 als Rebranding-Version der Ransomware Knight auftauchte. RansomHub zielt auf Windows, macOS, Linux und VMware ESXi-Umgebungen ab und ist für seine ausgeklügelten Verschlüsselungsmethoden bekannt.

Play Ransomware, auch PlayCrypt genannt, erschien erstmals im Juni 2022 und hat seitdem Unternehmen und kritische Infrastrukturen in Nordamerika, Südamerika und Europa angegriffen. Play nutzt kompromittierte gültige Konten oder ungepatchte Schwachstellen wie in Fortinet SSL-VPNs, um Zugang zu Netzwerken zu erhalten, und verwendet Techniken wie LOLBins (living-off-the-land binaries) für Datenexfiltration und Anmeldeinformationen-Diebstahl.

Akira Ransomware, die Anfang 2023 erstmals gemeldet wurde, zielt auf Windows- und Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 und ähnelt der durchgesickerten Conti v2 Ransomware. Akira wird über infizierte E-Mail-Anhänge und Exploits in VPN-Endpunkten verbreitet und verschlüsselt nach der Infektion Daten, fügt eine ".akira"-Erweiterung hinzu und stellt eine Lösegeldforderung für die Entschlüsselung.

Fazit

Die Bedrohungslandschaft bleibt dynamisch, wobei neue RaaS-Gruppen wie RansomHub an die Stelle etablierter Gruppen wie LockBit3 treten. Gleichzeitig verbreiten sich verschiedene Malware-Varianten in Deutschland und weltweit. Unternehmen müssen wachsam bleiben und ihre Cybersicherheitsmaßnahmen ständig aktualisieren, um sich gegen diese Bedrohungen zu schützen.